20 сентября, четверг 10:13
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Использование InfoWatch для выявления инсайдеров.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Использование InfoWatch для выявления инсайдеров.

    Уважаемые господа!

    Пропитавшись духом форума, я хочу задать вопрос "по теме".
    Есть такой софт - InfoWatch, который используется (внимание!) для контроля (о! сладкое слово!) за деятельностью пользователей.
    В смысле их трафика по почте, аське и прочим мерзким каналам утечки.

    Кто-нибудь из вас использовал этот самый инфовоч?
    Какие впечатления?
    Сложен ли он в настройке?
    Оправдывает ли средства в него вложенные?
    И каков процент шпиёнов позволяет выловить?

    Умоляю!! Не надо мне писать про юридические заморочки использование данного софта! Мы живем в России, не забывайте!
    Как говорил классик: "строгость законов Российских смягчается необязательностью их выполнения".

    Заранее признателен!

  • #2
    Специалисту по безопасности в "маленьком банке" надо ознакомиться со свежей историей с баша:

    Поставил всем в компании RAdmin, теперь шеф целыми днями палит мониторы своих сотрудников, чему сидит и радуется как ребенок. Естественно всем это порядком поднадоело.
    Решили ему устроить небольшой флеш-мобчик. Во время его подключения ВСЕ сотрудники компании открывали сайт конкурентов в разделе вакансии, и начинали писать свое резюме))))

    Комментарий


    • #3
      Сообщение от Berrimor Посмотреть сообщение
      Уважаемые господа!
      Есть такой софт - InfoWatch, который используется (внимание!) для контроля (о! сладкое слово!) за деятельностью пользователей. В смысле их трафика по почте, аське и прочим мерзким каналам утечки.
      Сообщение от Berrimor Посмотреть сообщение
      Кто-нибудь из вас использовал этот самый инфовоч?
      В бытность свою системным интегратором делал нечто вроде "идеального решения", чтобы на его примере показывать клиентам свою способность строить комплексную защиту. В частности, юзали Traffic Monitor и Mail Monitor от Infowatch'а.

      Сообщение от Berrimor Посмотреть сообщение
      Какие впечатления?
      Traffic Monitor - еще один сниффер из толпы себе подобных. Перехватывает plain-text протоколы, умеет делать поиск по ключевым словам. Mail Monitor - тот же Позор-Джет, только сбоку.

      Сообщение от Berrimor Посмотреть сообщение
      Сложен ли он в настройке?
      Два инженера разобралиь с ними за три дня.

      Сообщение от Berrimor Посмотреть сообщение
      Оправдывает ли средства в него вложенные? И каков процент шпиёнов позволяет выловить?
      IMHO, нет. При нормальной работе офицера безопасности даже самый последний клерк знает, что протоколы HTTP, SMTP, POP3 и ICQ передают данные открытым текстом, и sensitive data нужно передавать только SSL-ными их вариантами (фигли, user awareness ), против которых Traffic Monitor бессилен. Mail Monitor ставится как mail relay корпоративной почты, соответственно, работает только с ней. В общем, поймать вы можете только клинического идиота.

      Короче, выбирайте - либо у вас пользователи полные лохи, но есть возможность их "контролировать", либо вы ведете нормальную воспитательную работу, и они одинаково хорошщо защищаются как от врага, так и от вас. Я лично предпочитаю второй вариант

      Комментарий


      • #4
        Сообщение от malotavr Посмотреть сообщение
        При нормальной работе офицера безопасности даже самый последний клерк знает, что протоколы HTTP, SMTP, POP3 и ICQ передают данные открытым текстом, и sensitive data нужно передавать только SSL-ными их вариантами (фигли, user awareness ), против которых Traffic Monitor бессилен. Mail Monitor ставится как mail relay корпоративной почты, соответственно, работает только с ней. В общем, поймать вы можете только клинического идиота.

        Короче, выбирайте - либо у вас пользователи полные лохи, но есть возможность их "контролировать", либо вы ведете нормальную воспитательную работу, и они одинаково хорошщо защищаются как от врага, так и от вас. Я лично предпочитаю второй вариант
        Понимаете, только последний дурак-шпион будет отправлять закрытую информацию врагам в открытом виде по корпоративному интернету. А умного шпиона, который просто запомнит в голове небольшую ДЕЙСТВИТЕЛЬНО конфиденциальную информацию, мы в жизни не поймаем.
        Кроме того, всегда хочется иметь что-то такое умное, что думало бы за нас, ведь анализировать тонны логов это занятие для начинающего безопасника, который еще свято верит в свою полезность...
        Поэтому я спросил про инфовоч.
        Спасибо за исчерпывающий ответ.

        Насчет "воспитательной работы" это все здорово только для честных людей. А со шпионами что делать? Это уже тогда "перевербовка" называется.

        А что Вы скажете о Websense? Его продает Диалог-наука.

        Комментарий


        • #5
          Сообщение от Berrimor Посмотреть сообщение
          Насчет "воспитательной работы" это все здорово только для честных людей. А со шпионами что делать? Это уже тогда "перевербовка" называется.
          Дык Нет в жизни идеала. "Воспитательная работа" помогает бороться с одними угрозами, но мешает бороться сознательными сливами.

          Сообщение от Berrimor Посмотреть сообщение
          А что Вы скажете о Websense? Его продает Диалог-наука.
          Увы, тут ничего не подскажу. Но проблема с SSL-соединениями есть во всех подобных средствах контроля.

          Комментарий


          • #6
            Но проблема с SSL-соединениями есть во всех подобных средствах контроля.
            Реашеться Man-In-Middle.
            Интеграторы предлагают решения

            Комментарий


            • #7
              Сейчас есть прокси, которые могу подсовывать выбранный Вами сертификат по принципу man-in-the-middle, ничего не могу сказать насчёт производительности и управляемости. Только проверяли их работу - работает
              А все DLP решения - это защита от пользователя обычного, низкой квалификации, чаще всего немотивированного (т.е сливы случайные). Всему своё место - т.е если мы считаем, что риски нарушения конфиденциальность высоки при данном классе нарушителя, то ставим какое-то DLP решение.
              А к "ДЕЙСТВИТЕЛЬНО конфиденциальной" информации должен иметь очень ограниченный круг лиц. Т.е проблема "решается" на раннем уровне - ограничения доступа к информации, а не возможностями проводить над ней какие-либо действия.

              Комментарий


              • #8
                2nremezov На самом деле DLP могут быть эффективны если внедрить HIPS и по максимуму закрутить привелегии. По большому счету все СЗИ от утечек - рассчитаны на обнаружение случайных сливов и именно так позицируються.

                Комментарий


                • #9
                  Сообщение от nremezov Посмотреть сообщение
                  Сейчас есть прокси, которые могу подсовывать выбранный Вами сертификат по принципу man-in-the-middle,
                  Какие конкретно прокси (может быть файрволлы?) вы имеете в виду?
                  Аппаратные? Программные?
                  Каким образом они смогут расшифровать зашифрованный трафик?
                  Откуда они возьмут сеансовый сертификат?
                  Судя по названию man-in-the-middle в "середине" находится человек?

                  Сообщение от nremezov Посмотреть сообщение
                  А все DLP решения - это защита от пользователя обычного, низкой квалификации, чаще всего немотивированного (т.е сливы случайные). Всему своё место - т.е если мы считаем, что риски нарушения конфиденциальность высоки при данном классе нарушителя, то ставим какое-то DLP решение.
                  О каких конкретно решениях вы говорите?

                  Комментарий


                  • #10
                    Несколько лет назад я работал в InfoWatch.
                    Могу проконсультировать в личке.

                    Комментарий


                    • #11
                      Сообщение от Berrimor Посмотреть сообщение
                      Какие конкретно прокси (может быть файрволлы?) вы имеете в виду?
                      Аппаратные? Программные?
                      Насколько я помню, тестировали прокси от SPI Dynamics (создатели WebInspect).
                      Есть какие-то программки для *nix платформы...
                      В google наберите - ssl mitm, ssl proxy.
                      Вот, например - http://www.carbonwind.net/ISA/ACaseo...fMITMpart2.htm
                      Если использовать сертификат от корпоративного УЦ, то вероятность того, что пользователь, что-то заметит - крайне мала.
                      Сообщение от Berrimor Посмотреть сообщение
                      Каким образом они смогут расшифровать зашифрованный трафик?
                      Откуда они возьмут сеансовый сертификат?
                      Образно говоря процесс выглядит так: клиент - сертификат прокси - прокси - сертификат удалённого сервера - удалённый сервер.
                      Происходит подмена сертификата для клиента.
                      Сообщение от Berrimor Посмотреть сообщение
                      Судя по названию man-in-the-middle в "середине" находится человек?
                      Главное, что посередине находится что-то (кто-то) что перехватывает от нас\к нам, и если необходимо, то модифицирует.
                      Сообщение от Berrimor Посмотреть сообщение
                      О каких конкретно решениях вы говорите?
                      Не скажу

                      Комментарий


                      • #12
                        Есть такой софт - InfoWatch, который используется (внимание!) для контроля (о! сладкое слово!) за деятельностью пользователей.
                        В смысле их трафика по почте, аське и прочим мерзким каналам утечки.

                        Кто-нибудь из вас использовал этот самый инфовоч?
                        Какие впечатления?
                        Сложен ли он в настройке?

                        Вл всяком случае по их best practics все очень гладко (я имею в виду книжицу, где они внедрялись в Билайн, Банк Москвы, ФТС).
                        Хотя обещение с интергаторами наводит на противоположные мысли - продукт сырой, есть глюкобаги. Некоторое время назад я пытался найти дистрибутив для сравнения с другими продуктами DLP, производитель мне его не дал (на сайте не было), пришлось выманивать у интеграторов.
                        О каких конкретно решениях вы говорите?
                        Для каждого канала утечки свои, например для I/O - DeviceLock, Sanctuary, Zlock, Infowatch Device Monitor, Symantec Endpoint Protection, Safend.

                        Комментарий


                        • #13
                          Сообщение от alexk12 Посмотреть сообщение
                          Есть такой софт - InfoWatch, который используется (внимание!) для контроля (о! сладкое слово!) за деятельностью пользователей.
                          В смысле их трафика по почте, аське и прочим мерзким каналам утечки.

                          Кто-нибудь из вас использовал этот самый инфовоч?
                          Какие впечатления?
                          Сложен ли он в настройке?

                          Вл всяком случае по их best practics все очень гладко (я имею в виду книжицу, где они внедрялись в Билайн, Банк Москвы, ФТС).
                          Хотя обещение с интергаторами наводит на противоположные мысли - продукт сырой, есть глюкобаги.
                          Меня еще насторожило, что для работы инфовоча требуется оракловый сервер (деньги и сопровождение!) и само это решение НЕ контролирует IM и сетевую печать.

                          А какие еще решения кто знает для контроля за неправомерными действиями персонала (например, передача конфиденциальной информации по аське)?
                          Кроме инфовоча и Websence.

                          Комментарий


                          • #14
                            Об этом уже писалось. Вот здесь можно посмотреть: www.spectorsoft.ru

                            Те средства, которые вы обсуждаете, контролируют скорее не действия пользователя, а некоторые виды трафика.

                            Комментарий


                            • #15
                              Verdasys, Vontu, Дозор Джет, Переметрикс(скоро выйдет), McAfee, TrendMicro(скоро выйдет) и т.д.

                              Комментарий


                              • #16
                                Сообщение от barmalei Посмотреть сообщение
                                Verdasys, Vontu, Дозор Джет, Переметрикс(скоро выйдет), McAfee, TrendMicro(скоро выйдет) и т.д.
                                Маккафи и трендмикро это названия фирм, я же спрашивал о конкретных решениях.
                                То, что Вы перечислили позволяет делать контексный анализ трафика аськи (к примеру)?

                                Комментарий


                                • #17
                                  То, что Вы перечислили позволяет делать контексный анализ трафика аськи (к примеру)?
                                  Verdasys -да
                                  Vontu - да
                                  Дозор Джет - пока нет
                                  Переметрикс(скоро выйдет) - да
                                  McAfee DLP- да
                                  TrendMicro LeakProof - да

                                  Комментарий


                                  • #18
                                    CiscO Security Agent 6.0 (скоро выйдет) ;-)

                                    Комментарий


                                    • #19
                                      2Алексей Лукацкий
                                      CiscO Security Agent 6.0 - это HIPS, система другого уровня.

                                      Комментарий


                                      • #20
                                        CSA - это не HIPS. Не ограничивайте его применение и функциональность. Он ловит вирусы (исключая бутовые), он контролирует доступ к файлам, следит за использованием периферийных носителей и коммуникационных портов, приоритезирует полосу для слабых каналов, отслеживает использование софта и отсутствие патчей и т.д. А в шестерке еще и контроль контента появляется наряду с СИГНАТУРНЫМ антивирусом.

                                        Иными словами - это универсальный защитный клиент "All-in-One" (криптухи только нет... пока нет).

                                        Комментарий


                                        • #21
                                          Кстати, feature set для версии 6.0 у вас на сайте опубликован? Хочется кпоказать снашему руководству, что CSA может некоторые наши проблемы решить.

                                          Комментарий


                                          • #22
                                            infowatch на данный момент наилучший продукт так как ориентирован на русский рынок, разработан нашими девелоперами, за щет чего нормально работает с великим и могучим. И дает возможность нормального анализа. ни одна буржуйская поделка на это не способна. А вот внедрение infowatch задачка не тривиальная.
                                            WebSense продукт друго класса работает на основе хешей, т.е. вам надо явно пометить конф.доку, хешии устойчивы к изменениям до 51% изменения доки, продукт не подходит для предприятий с высокой самоорганизацией конф.данных.

                                            Комментарий


                                            • #23
                                              spector продукт совершенно другого направления. в отличии от инфовотча и вебсенса, которые мониторят каналы, спектор мониторит рабочие станции пользователей(на машину пользователя необходимо устанавливать агента) но при этом контент анализ и собственно предотвращение утечек не являеться ориентацией спектра. Ужасно работает с Русским в связи с чем на данный момент внедрять его не предстовляеться рентабельным.

                                              Комментарий


                                              • #24
                                                при этом стоит отмеить что для нормального обеспечения безопасности продукты должны использоваться в комплексе. Т.е. один инфовотч или вебсенс не дадут вам полной защиты от инсайдеров. В принципе,как и комплекс не защитит вас от вашего админа? если вы его вдруг обидите За постороением подобных комплексных систем я б всетаки советовал обращатся к спецам.

                                                Комментарий


                                                • #25
                                                  А что скажете о Perimetrix Secret Documents Lifecycle™?

                                                  Комментарий


                                                  • #26
                                                    2Алексей Лукацкий Компания Сисько сама позицируете CSA как HIPS, по крайней мере так раньше было, сейчас позицируете как HIPS+firewall+0day защита
                                                    и продолжаете наращивать потенциал
                                                    А в шестерке еще и контроль контента появляется наряду с СИГНАТУРНЫМ антивирусом
                                                    Что только радует. Но HIPS сам по себе не бореться с утечками, он имеет часть функционала которую можно применять для перекрытия к примеру USB портов.
                                                    HIPS хорошо применять совместно с СЗИ от утечек.

                                                    2sysalex Инфоватч выбрав правильное направление, но выбрав неверный путь сейчас не в самом лучшем положении. Они сейчас будут добавлять хеши в свой продукт и догонять конкурентов, которые скоро повалят к нам на рынок в полном объеме.

                                                    за щет чего нормально работает с великим и могучим
                                                    Хеши отлично работают с великим и могучим. С ним все зарубежные компании хорошо работают, за исключением единиц.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от sysalex Посмотреть сообщение
                                                      spector продукт совершенно другого направления. в отличии от инфовотча и вебсенса, которые мониторят каналы, спектор мониторит рабочие станции пользователей(на машину пользователя необходимо устанавливать агента) но при этом контент анализ и собственно предотвращение утечек не являеться ориентацией спектра. Ужасно работает с Русским в связи с чем на данный момент внедрять его не предстовляеться рентабельным.
                                                      Там временные проблемы с русским языком только в Spector 360, в остальных продуктах SpectorSoft таких проблем нет.

                                                      Что касается ИнфоВотча, то уже много раз писалось в разных местах о том, что контролировать web и почтовый трафик явно недостаточно для обнаружения утечек информации. Намного эффективнее контролировать не сам трафик, а человека, который этот трафик создает, начиная с того, что он набирает на клавиатуре, использования им различных программ и заканчивая скриншотами его работы. А ИнфоВотч даже и трафик контролировать не сможет, если переписка ведется в зашифрованном виде, т.е. по нормальному. Зато для внедрения ИнфоВотча нужна целая рота консультантов и громадный бюджет, который любая организация способна потратить со значительно большей для себя пользой.

                                                      Комментарий


                                                      • #28
                                                        barmalei 2Алексей Лукацкий Компания Сисько сама позицируете CSA как HIPS, по крайней мере так раньше было, сейчас позицируете как HIPS+firewall+0day защита

                                                        Да никогда ;-) HIPS использовался только потому, что на момент появления CSA не было еще на рынке ничего для защиты endpoint кроме pfw и hips. Поэтому и назвали HIPS (кратко), но всегда говорили, что это больше чем HIPS, т.к. функциональность гораздо богаче. И 0-Day, кстати, были ВСЕГДА ;-)

                                                        PS. Не Сисько, а Сиско ;-)

                                                        Комментарий


                                                        • #29
                                                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                          PS. Не Сисько, а Сиско ;-)
                                                          Ну это с какой стороны смотреть... формы, собственно, угадываются

                                                          Комментарий

                                                          Пользователи, просматривающие эту тему

                                                          Свернуть

                                                          Присутствует 1. Участников: 0, гостей: 1.

                                                          Обработка...
                                                          X